Дальше все стало еще веселее - в каталоге родного приложения Facebook нашелся файл com.Facebook.plist, в котором лежал не просто токен, а целый OAuth-ключ с временем жизни аж до 1 января 4001 года. Копирования информации из этого файла уже достаточно для полного доступа к Facebook-аккаунту.

В Facebook отчасти признали проблему, уточнив, что от шифрования этих данных все равно не было бы толку, поскольку ключ для дешифровки все равно пришлось бы хранить на этой же системе. Кроме того, для успешной атаки нужно либо приложение, способное получить доступ к чужому каталогу (что возможно лишь в джейлбрейкнутой iOS либо рутованном андроиде), либо подключение устройства по USB.

По поводу первого сценария в Facebook с чистой совестью заявили, что ломающие свои системы сами себе злобные Буратины, ну а по поводу второго - что нельзя ожидать чудес от авторов прикладного софта, если злоумышленник получил физический доступ к вашему телефону или компьютеру.

То, что ситуация вполне стандартная, подтверждает обнаруженный на следующей же день аналогичный файл com.getdropbox.Dropbox.plist, обнаруженный в каталоге понятно какого приложения.

Источник: ZDNet

теги: android, ios, facebook, dropbox  |  предложить новость  |  обсудить  |  все отзывы (2)

[8375]

назад «  » вперед

аналогичные материалы Обход андроидной блокировки // 14.11.22 23:57 Dropbox посеял 130 репозиториев // 02.11.22 02:34 Apple случайно превратила FaceTime в инструмент для прослушки // 29.01.19 04:31 Неделя признаний в утечках // 15.12.18 17:45 Запароленные бэкапы iOS 10 взламываются в 2500 раз легче // 26.09.16 00:40 Срочное обновление iOS // 26.08.16 19:17 "Короля спама" приговорили к 2.5 годам за фейсбучный спам // 17.06.16 13:04

последние новостиBugTraq.Ru: последние новости Бэкдор в xz/liblzma, предназначенный для атаки ssh-серверов // 30.03.24 17:23 Три миллиона электронных замков готовы открыть свои двери // 22.03.24 20:22 Doom на газонокосилках // 28.02.24 17:19 Умер Никлаус Вирт // 04.01.24 14:05 С наступающим // 31.12.23 23:59 Четверть приложений, использующих Log4j, до сих пор уязвима // 11.12.23 18:29 Google Drive находит файлы // 07.12.23 01:46

Комментарии: А какие ещё варианты кроме хранения токена в стандартно... 06.04.12 11:10   Автор: Alexander Abramov Статус: Незарегистрированный пользователь <"чистая" ссылка> А какие ещё варианты кроме хранения токена в стандартно отведённом для этого месте? Это такая же "уязвимость" как хранение браузером кукисов на диске в специальной папочке. С ключом другое дело. так то ж британскому (tm) разработчику не понравилось, так-то понятно, что чудес не бывает 06.04.12 11:34   Автор: dl <Dmitry Leonov> <"чистая" ссылка>

<добавить комментарий>